首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

“git clone” 漏洞或可导致克隆过程中执行代码

出品|开源中国

文|御坂弟弟

近日,GitHub 官博披露了一个 “git clone” 命令的漏洞CVE-2021-213,该漏洞可能导致特制的仓库在 git clone 过程中能够执行代码。

该漏洞源于 clean/smudge 过滤器(如Git LFS)中的延迟检查机制。 如果一个特别制作的版本库包含符号链接以及使用 clean/smudge 过滤器的文件,可能会导致在克隆到不区分大小写的文件系统(如 NTFS、HFS+ 或 APFS(即 Windows 和 macOS上 的默认文件系统))时执行刚检查出来的脚本。这个过程中,注意,clean/smudge 过滤器是必须的,而 Windows 默认配置了 Git LFS,因此更易受到攻击。2.15 到 2.30.1 的版本均会受到影响。

解决这个漏洞的最有效方法是升级到2.30.2。如不能立即升级,也可以通过以下任何一种方式来降低风险:

通过运行 git config --global core.symlinks false 禁用 Git 中的符号链接支持。

禁用对进程过滤器的支持。(可以通过运行 git config --show-scope --get-regexp 'filter/\...*/\ process' 来查看系统是否配置了这些过滤器)

避免克隆不受信任的仓库。

GitHub 本身不容易受到这种攻击,因为其不会在服务器上存储已检查出的仓库副本,但 GitHub Pages 除外,尽管它没有使用任何 clean/smudge 过滤器。目前,该问题已在 3 月 9 日星期二发布的补丁中进行了修补。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20210311A06C3T00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券